Tengo un troyano que alguien me bajo del msn y no puedo con el intente con el msncleanner y ccleanner en modo seguro pero no lo detecto, este es mi log:
NO poner Logs de HijackThis y/o ComboFIX en este sector del foro o seran eliminados.



Agradeceria si me pueden ayudar

Hola

Descarga CClenaer

• Primero Ejecutar la opción "Limpiador" para eliminar cookies, archivos temporales, etc. Luego utilizar la opción de "Registro" para limpiar el registro de Windows (Recuerde hacer una copia de seguridad)

Ahora realiza un escaner online con Panda ActiveScan Online y elimina todo lo que detecte, al terminar genera un reporte que me tienes que mostrar para analizarlo.

Salu2!

Desintale el messenger y parece que ya no esta pero al pasar el el ewido me dice que tengo el backdoor, realizare los once pasos ver ...luego te pego el reporte

Ok, no olvides volver con los resultados y con el reporte para ver como esta tu pc

Salu2!

Realice los once pasos y nada el ewido cada vez que la paso me pone esto

wido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Backdoor.HacDef.mc
Path: [420] VM_009F0000
Risk: High


y al instalar nuevamente el messenger, me parace el trayano Vipgsm

no se que hacer?

Hola

Realiza los siguiente sin salterte ningun paso:

Descarga:

• SuperAnitSpyware (Si lo tienes, actualizalo)
• MSNClenaer (ultima version)
• Elistara
• SDFix

Aun no ejecutes ninguno!

hace lo siguiente:

• Apaga restaurar sistema
• Entra en modo a prueba de fallos

Ejecuta los programas en este orden:

SuperAntiSpyware (elimina todo lo que te detecte).
SDFix (segui los pasos de su MANUAL).
MSNCleaner (elimina todo lo que te detecte)
Elistara (En Modo Seguro Ejecutas EliStarA,y Cuando lo abras Dale todo a SI,y Espera a que termine,y Te saldra una ventana,en esa ventana escaneas todo el PC,y va encontrando los archivos infectados (Escanea Todas las unidades,C:\,D:\,A:\,F:\,E:\)Y fijate que este seleccionada la opcion Eliminar ficheros automaticamente..)

Inicias en modo normal y pegas aqui el reporte que se encuentra en C:\InfoSat.txt

Salu2!

Me sigue apareciendo el spyware doctor la siguiente advertencia:

Accion maligna bloqueada
spyware doctor ha bloqueado una aplicacion que intentaba cerrar un archivo

RUTA: C:\msn.log

Amenaza: trojan vipgsm
Nivel de Riesgo: Alto.


Realice los pasos que me indicasteis pero nada te pego los reportes:



b][u]SDFix[/B]: Version 1.144[/u]

Run by deney on 21/02/2008 at 19:41

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\DOCUME~1\deney\ESCRIT~1\DESCAR~1\PROGRA~1\SDFix

Checking Services:

Name:
ekalsoyumo

Path:
C:\WINDOWS\system32\btisyvyopq.exe /service

ekalsoyumo - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\drivers\etc\BackupHosts.bak - Deleted





Removing Temp Files...

ADS Check:



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-21 19:44:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000003

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:8e,9d,06,60,51,c8,c9,37,8f,a8,e3,58,30 ,52,d9,ec,69,06,ea,94,a9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000001
"hdf12"=hex:e4,9e,1f,49,9c,c4,09,f2,e4,46,f6,27,c3 ,77,ea,98,a3,65,b9,74,d4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000002
"khjeh"=hex:97,93,a8,c5,ee,38,1b,1b,6e,f2,46,22,df ,37,99,b0,10,a2,4e,9e,ca,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s ptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:8e,9d,06,60,51,c8,c9,37,8f,a8,e3,58,30 ,52,d9,ec,69,06,ea,94,a9,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s ptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000001
"hdf12"=hex:e4,9e,1f,49,9c,c4,09,f2,e4,46,f6,27,c3 ,77,ea,98,a3,65,b9,74,d4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s ptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000002
"khjeh"=hex:97,93,a8,c5,ee,38,1b,1b,6e,f2,46,22,df ,37,99,b0,10,a2,4e,9e,ca,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3


Remaining Services:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.e xe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Archivos de programa\\Archivos comunes\\Ahead\\Nero Web\\SetupX.exe"="C:\\Archivos de programa\\Archivos comunes\\Ahead\\Nero Web\\SetupX.exe:*:Enabled:Nero ProductSetup"
"C:\\Archivos de programa\\Ares\\Ares.exe"="C:\\Archivos de programa\\Ares\\Ares.exe:*:Enabled:Ares p2p for windows"
"C:\\Archivos de programa\\Anno 1701\\Anno1701.exe"="C:\\Archivos de programa\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS \\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS \\system32\\rundll32.exe:*:Enabled:Ejecutar un archivo DLL como una aplicaci¢n"
"C:\\Archivos de programa\\TVAnts\\Tvants.exe"="C:\\Archivos de programa\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"
"C:\\Archivos de programa\\Pando Networks\\Pando\\pando.exe"="C:\\Archivos de programa\\Pando Networks\\Pando\\pando.exe:*:Enabled:Pando Application"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files:


File Backups: - C:\DOCUME~1\deney\ESCRIT~1\DESCAR~1\PROGRA~1\SDFix \backups\backups.zip

Files with Hidden Attributes:

Sun 2 Sep 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 22 Jul 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 29 Apr 2007 503,808 A.SH. --- "C:\Documents and Settings\deney\Escritorio\fotos\SIV1.tmp"
Sat 14 Apr 2007 241,664 A.SH. --- "C:\Documents and Settings\deney\Escritorio\fotos\SIV1E2.tmp"
Sun 29 Apr 2007 602,112 A.SH. --- "C:\Documents and Settings\deney\Escritorio\fotos\SIV2.tmp"
Mon 14 May 2007 425,984 A.SH. --- "C:\Documents and Settings\deney\Escritorio\fotos\SIVA.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c4 06b1d7e0f5c1e6f6d44a3f6e\BIT6.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\147dc66a 4d9e5855005066297fbd5dd5\BIT262.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1cf10b30 731e83db191a284e24ce720c\BIT25D.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc 8132a10b438ce6e2b49d4652\BIT5.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2769b111 678c52099a3b3123b12f2325\BIT9.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\28718016 0cbc791ed7141e5a56f3e661\BIT8.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\32d80e58 ee41cf266b06b890bc836a3d\BITC.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8e65d7d6 b30817e9fac58ce53c9c29ef\BIT25B.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\96a0be2f 1beae8052937431ffc4bb48d\BIT25C.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\979d4ddb 8065ffb2dc0cb3d515901710\BIT261.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\98e381f4 ba8fbda9fb04865e9cf0d605\BIT7.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a1feda55 4f795971fda237333f75243f\BIT25F.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b2278ac3 b8a7d329217f0fb7c7d9ee91\BITB.tmp"
Sun 22 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b3958dae 49728da026def65195c3aa84\BIT2.tmp"
Wed 24 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d4563756 6b00a9a62c2cbc8d2ee4835a\BIT25E.tmp"
Wed 24 Oct 2007 4,887,408 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d4b9e27d 0b4879f74a3a024e53607245\BIT260.tmp"
Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b 8fed23dd91f50d167cce60d3\BITA.tmp"

Finished!




Thu Feb 21 14:56:58 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\ARCHIVOS DE PROGRAMA\ACTIVATIONMANAGER\ACTIVATIONMANAGER.DLL --> Eliminado AdWare.Agent.UJ(BHO)
Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"
Eliminada Class, "{86A44EF7-78FC-4E18-A564-B18F806F7F56}" -> C:\Archivos de programa\ActivationManager\ActivationManager.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Feb 21 17:31:18 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Feb 21 17:31:36 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4343
Nº Total de Ficheros: 43047
Nº de Ficheros Analizados: 12476
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 21 19:37:12 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 21 19:37:15 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 21 19:37:19 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 21 19:37:23 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 21 19:37:28 2008
EliStartPage v15.70 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad H:\

Nº Total de Directorios: 0
Nº Total de Ficheros: 0
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Hola

Intenta borra el archivo que se encuentra en C:\msn.log, si no se deja, hazlo en modo seguro (a prueba de fallos) y con FileASSASSIN.

Salu2

cuadno lo busco en C no lo encuentro ni tampoco con el fil..... puede ser que este oculto pero no se como hacer para ver los archivos ocultos

Hola

¿Como ver archivos ocultos?

Me cuentas!¡